招行網銀曝漏洞:客戶信息泄露可被修改,回應稱系伺服器緩存

招行危機公關把客戶當傻逼!嚴重信息泄漏歸咎「伺服器緩存」

招商銀行官方博客稱,「5 月 26 日晚,我行伺服器出現短暫通訊異常,導致少量客戶在網上銀行專業版查詢其個人信息時,系統偶發性顯示了伺服器緩存的錯誤信息,相關異常已於 26 日當晚修復,不會對客戶信息安全及業務造成影響。」官方沒有透露問題持續了多長時間,以及解釋什麼通訊異常。

根據社交媒體上流傳的信息,所謂通訊異常是指 A 用戶登錄時顯示了 B 的賬號,包括 B 完整通訊信息,此外每次刷新會顯示另一個人的賬號。一些人聲稱在 5 月 27 日登錄招商銀行網銀專業版仍然遭遇了相同的問題。

招行危機公關把客戶當傻逼!嚴重信息泄漏歸咎「伺服器緩存」

來源:關愛行員中心公眾號

「私銀」公眾號前日零點發了一篇《突發!招行網銀出現嚴重漏洞》

這個漏洞有多可怕?

各位招行客戶,站穩了聽!

在招行網銀,你可以查看其他客戶的信息!並且修改掉!

也就是說,你留在招行的信息,也可能被別人看光光!改光光!

(信息包括完整的性別、電子郵箱、常住地址、單位名稱、單位地址、單位郵編、單位電話,和部分打了碼的銀行預留手機號。)

撥打招行電話銀行,銀行會把你和其他用戶搞錯,然後你輸入三次密碼,就能鎖掉別人的銀行卡!

也就是說,你的銀行卡,可能莫名奇妙被別人鎖掉。

作為一個曾經的銀行人、現在的招行卡客戶(這還是我的工資卡啊),女司機嚇得文章沒寫完,就去查看自己的餘額和個人信息了!

銀行發生這麼可怕的用戶信息泄漏事件,已經很誇張了!

但更可怕的是銀行對待這件事的態度!

招行這次是鐵了心,打算大事化小、小事化了,息事寧人、把事情壓下去!

據傳,招行內部要求:嚴禁內部轉發,尤其是嚴禁在大型群組轉發,以免點擊率擴大!做好顧客安撫工作。

5月26日事發。24小時內,招行並沒有發布任何聲明,也並沒有給招行客戶任何安全警告和風險提示。

5月27日傍晚,招行終於才通過微博,發了一條情況說明。

招行回應

招行回應

可笑的是,嚴重的用戶信息泄漏和賬戶安全問題,被招行用輕飄飄的「伺服器短暫通訊異常」、「系統偶發性顯示了緩存信息」就打發了。

網友紛紛表示:「我們不是傻子」,吐槽聲一片

一次失敗的危機處理,影響的不僅是客戶,還有不明真相的第一線員工。

這一次,招行選擇了站在銀行名聲的角度,而不是站在責任心的角度。

為保名聲,招行封閉信息、避免擴散,不給予銀行客戶任何風險提示和安全警告。

危機公關是門應急技能、是門社交藝術。但是說到底,最成功的危機公關是將心比心。

一個上市銀行,保管著數以萬計的用戶信息,發生了這麼嚴重的信息泄漏,客戶要的並不是安撫,更不是隱瞞!客戶要的是提醒、是真相!

電腦系統的問題,任何公司都有幾率發生。一次漏洞,不能否定一家銀行的系統安全。

但,危機發生之後的選擇,卻能看出一家企業高層的願景和責任心。

招行這次的選擇,代表著客戶在他們心中的位置——狗屁不如(至少不如自己的名聲)。

說實話,這樣的「高壓公關政策」,連我們的達康書記都不會這麼干!更何況,你只是一家銀行。

文初說到的「私銀」賬號,作者是一枚資深銀行人,也是招行客戶。他想把這件事告訴更多人,讓大家提高警惕。

結果這位作者卻遭遇到了「招行某上海分行員工」的人身威脅和人肉!

揚言要找負面報道作者

揚言要找負面報道作者

這位叫「歲月如歌」的招行人,上來先一通「有事相求」。

接著,借朋友之名,套近乎。然後用官方不容置疑的口吻請求刪文。

當被拒絕後,「求人」的面具說撕就撕!開始對著作者惡言相向。。。。。。

最後,揚言要找負面報道作者。。。

這還沒完,這位招行人還不罷休。找出作者照片,表示會人肉作者!

還狐假虎威地表示,招行領導不會放過作者!(攤上這樣的下屬,領導不躺槍也難。。。。。。)

想和這位行員說一句:系統有漏洞能補,腦子有漏洞就比較麻煩了。

銀行不願意揭自己的丑,自媒體來曝光。這對銀行的形象是一種傷害。

但是對更多人而言,這是事實,是善意的提醒!

發生了問題,總要有人敢說真話。

不知道今天會不會也有人,來人肉女司機,要我刪帖。。。。。。

註明:【部分圖片引用自微信公眾 私銀】

以下是「私銀」公布的漏洞全過程:

LU層異常

LU層異常

5月26日,登陸招行網銀,進入修改信息頁面,會跳出一個LU層異常

用戶信息

用戶信息

然後你就會看到別人的用戶信息,其中有完整的性別、電子郵箱、常住地址、單位名稱、單位地址、單位郵編、單位電話,和部分打了碼的銀行預留手機號。

最逆天的是——

你還能修改他人信息

你還能修改他人信息

你還能修改他人信息!

是的!你的信息也能被別人修改!

更誇張的是,你再刷新還能看見另一個人的信息

再刷,再看到一位

退休老大爺的身家性命都被人看去了

電話銀行也出了客戶信息竄位的錯誤

早在2016年年底,銀監爸爸就已經關注到了招行信用卡泄漏客戶手機號的事件。居然,不是初犯。。。

從1987。。。。。。2013。

從1987。。。。。。2013。

從1987。。。。。。2013。

這個「句號」,很有深意。

寫完文章,睡前最後一件事,是把招行這張工資卡里的錢都轉走了。等我相信你們「伺服器緩存沒問題」再說吧。

可憐多少招行櫃員和理財經理,一把血汗淚拉來的存款。就這麼被自家的公關豬隊友?,給坑沒了。

推薦閱讀:

如何保護伺服器免受 Meltdown 和 Spectre 漏洞的波及
瀏覽器廠商應對重大 CPU 安全漏洞:降低時鐘精度,禁用 SharedArrayBuffer
博全球眼球的OAuth漏洞
美國國防部漏洞檢測標準

TAG:黑客Hacker | 漏洞 | 网络安全 |